FYI.

This story is over 5 years old.

The Tor Project dicht een beveiligingslek in hun website

Een beveiligingslek dat de website van The Tor Project kwetsbaar maakte voor cross-site scripting aanvallen, is verholpen nadat een onderzoeker het probleem openbaar maakte op deze zelfde website.

The Tor Project, het non-profit initiatief dat de bekende Tor browser beheert, heeft een zwakke plek in de code van hun website gedicht. Deze zwakke plek zorgde ervoor dat bezoekers van de website mogelijk aangevallen konden worden.

Roy Jansen, een expert in computerbeveiliging die vaker websites op beveiligingsfouten attendeert, verstuurde afgelopen zaterdag een tweet waarin bewijs stond dat de website van Tor kwetsbaar was voor zogenaamde cross-site scripting (XSS) aanvallen. Dit houdt in dat een aanvaller code aan een website kan toevoegen, waardoor bezoekers van de website - ervan uitgaande dat alle links die op de website staan veilig zijn - onbewust bepaalde schadelijke taken kunnen ontvoeren.

Advertentie

De tweet van Jansen bevatte een screenshot van de 'archive'-sectie van de website van The Tor Project, waar naast de normale inhoud van de pagina ook een waarschuwingsbericht van Jansen te zien was.

"XSS-aanvallen maken gebruik van zwakke plekken in internetapplicaties of de servers of plug-in systemen waaraan ze verbonden zijn," was te lezen in het bericht dat Jansen aan de pagina had toegevoegd. "Hierdoor kunnen aanvallers kwaadaardige code implementeren in de normale inhoud van een website."

De screenshot bevatte ook een pop-up die als voorbeeld diende van het soort code dat aanvallers toe zouden kunnen voegen.

"Het Tor-netwerk op zich is waarschijnlijk niet in gevaar," vertelde Jansen Motherboard in een tweet. "Maar de bezoekers van hun website wel."

Jansen vertelde ook dat hij The Tor Project in het verleden al meerdere e-mails heeft gestuurd over het beveiligingslek, maar dat hij nooit een bericht terug kreeg. Hij stuurde één van deze e-mails, die volgens hem al in december vorig jaar verstuurd was, door naar Motherboard als bewijs.

"Het frustreerde me enorm dat ik steeds geen reactie kreeg," zei Jansen. "Dus besloot ik het beveiligingslek openbaar te maken, in de hoop dat ze het probleem dan eindelijk eens zouden oplossen."

Het lijkt erop dat het plan van Jansen gewerkt heeft – terwijl dit artikel geschreven werd, heeft The Tor Project de zwakke plek in hun code gedicht.

Toen Kate Krauss, de woordvoerder van The Tor Project, door Motherboard gevraagd werd om een reactie benadrukte ze dat de gebruikers van de Tor-browser nooit in gevaar zijn geweest: "We hebben de glitch in onze blog verholpen. Voor de duidelijkheid: het gaat hier om onze blog, niet om de sofware van Tor. Gebruikers van Tor zijn op geen enkele manier slachtoffer geworden."

Jansen zegt nog steeds niets van The Tor Project gehoord te hebben.

"Ik ben blij dat het beveiligingslek is gedicht, maar ik vind het jammer dat niemand me ook maar bedankt heeft."